칼럼 | AI로 늘어나는 북한 해커의 공격, 3가지 조치로 기업을 보호하자

AI로 위장한 북한 해커가 기업을 공격하고 있다. 단순히 몇몇 개인의 범죄 행위가 아니다. 국가 차원에서 진행된 대규모 해킹 공격이 지난 2년 동안 꾸준히 발생하고 있다. 끓는 물 속 개구리처럼, 많은 조직들은 이러한 위협에 대한 사전 대책을 세우지 않은 채 뒤늦게서야 그 심각성을 깨닫고 있다.

보안 기업 시큐로닉스(Securonix)의 설문조사에 따르면, ‘악의적인 내부자’에 대한 우려가 2019년 60%에서 2024년 74%로 증가했으며, 90%의 기업이 내부자 공격이 "외부 공격보다 탐지하기가 동등하거나 더 어렵다"고 생각하는 것으로 나타났다. 이러한 증가의 이유는 급속도로 가속화되고 있는 북한 IT 인력의 최근 활동 관련 소식을 살펴보면 명확히 알 수 있다.
 

• 2022년 5월: FBI는 북한 IT 노동자들이 북한 국민이 아닌 것처럼 위장해 취업하려는 시도가 있으며, 그 목표는 북한의 무기 개발 자금을 확보하기 위한 것이라고 경고했다.

• 2023년 10월: FBI는 딥페이크 기술을 이용한 가짜 지원자에 대한 2가지 특징으로 지원자가 영상 인터뷰나 화상회의에서 카메라에 자신을 드러내는 것을 꺼리며, 지원자의 소셜 미디어 프로필이 이력서의 정보와 일치하지 않는 점을 지적했다.

• 2024년 5월: 미 법무부는 ‘상위 5위 안에 드는 국영 방송사’, ‘미 실리콘밸리 주류 기술 회사’ 등에소속된 직원의 신원을 도용해 포춘 500대 기업에 침입하려는 북한의 계획에 도움을 준 미국 및 외국인 조력자가 존재했으며, 해당 범죄자를 체포했다고 발표했다.

• 2024년 6월: 월스트리트저널은 딥페이크로 취업을 시도한 악의적 행위자를 만났던 CEO들의 이야기를 보도했다. 한 경영자는 “북한 스파이로 추정되는 지원자 50명 이상을 막아냈다”고 밝혔다.

• 2024년 8월: 보안 회사 노비포(KnowBe4)는 북한 스파이를 의도치 않게 고용한 사실을 공개했다. 이 위협 행위자는 딥페이크 프로필 사진과 도용된 신원 정보를 이용해 미국 시민으로 위장했으며, 회사 지급 노트북에 악성 프로그램을 설치하려다 적발됐다.

합법 및 불법 면접자 모두가 활용하는 AI
소프트웨어 리뷰 서비스 업체 캡테라(Capterra)가 12개국 3,000명의 구직자를 대상으로 진행한 설문 조사에 따르면, 응답자의 58%가 현재 구직 과정에서 AI를 사용하고 있으며, 83%는 자신들의 능력을 과장하거나 거짓으로 꾸몄다고 고백했다. 또한 4명 중 1명 이상이 AI를 이용해 인터뷰 답변을 생성한 경험이 있다고 밝혔다. 합법적인 구직자도 이러한 도구를 사용하고 있다면, 범죄자들도 당연히 활용하고 있을 것이다.

사기꾼들에게 생성형 AI는 무료로 제공되는 강력한 무기와 같다. 인터뷰 코파일럿(Interview Copilot)이나 센세이 AI(Sensei AI)와 같은 소프트웨어는 모의 인터뷰를 통해 준비를 돕는 것뿐만 아니라, 실제 인터뷰 중 실시간으로 맞춤형 답변을 생성해준다. 이러한 도구들은 대부분 무료 버전이나 체험판을 제공하며, 개인화된 답변, 실시간 음성 인식, 면접관이 사용하는 언어의 즉각 번역 기능을 갖추고 있다. 일부 도구는 면접관이 탐지할 수 없고, 특별한 조작 없이 간편하게 이용할 수 있다.

생성형 AI로 면접을 통과한 위협 행위자는 딥페이크 도구를 이용해 가짜 신분증과 프로필 사진을 만든다. 이때 실제 미국 시민의 개인 정보가 사용된다. 

참고하면 좋은 FBI 지침

현재의 채용 절차는 이런 새로운 위협을 막기에 충분하지 않다. 일부 기업들은 새로운 방어책을 실험하고 있지만, 이마저도 부족하다. 예를 들어, 월스트리트저널에서 인터뷰했던 한 경영자는 면접에서 후보자에게 영상 통화로 신분증을 보여주도록 요청했고, 신분증과 얼굴이 일치하는지 확인한다고 밝혔다. 그러나 딥페이크로 만들어진 가짜 신분증은 본인인증(KYC) 소프트웨어도 통과할 수 있을 만큼 정교해져 있으며, 화질이 그다지 좋지 않은 영상 통화에서는 특히 진짜처럼 보이기 쉽다.

FBI는 북한 IT 노동자에 대한 대응 지침을 계속해서 개선하고 있으며, 기업은 이를 참고해보면 좋다. 흥미롭게도 의료 업계에서 딥페이크 및 소셜 엔지니어링 위협에 대해 발표한 지침과 매우 유사한 요소가 있다. 현재 FBI, 법무부, 보건부에서 발표한 지침을 도입하려는 조직의 경우, 자동화된 신원 확인 도구를 사용해 보다 신원 확인 절차를 강화할 수 있다.

북한 스파이 고용을 방지하는 방법
이러한 위협에 효과적으로 대처하기 위해 기업은 인식 교육, 체계적인 절차, 딥페이크에 대응할 수 있는 강력한 신원 확인 도구를 활용해야 한다. 다음은 기업의 보안을 지키기 위해 CIO가 취할 수 있는 세 가지 구체적인 조치다.

첫째, 생성형 AI 도구를 사용하는 지원자는 독특한 특징을 보인다. 

둘째, 신규 계정 생성 시 강력한 신원 확인(Identity Verification) 절차를 거치도록 만들어라. 

마지막으로, 기존 직원의 신원도 다시 확인해보는 것을 추천한다. 확장 가능하고 자동화되며 무엇보다 신뢰할 수 있는 방법을 사용하는 것이 중요하다. 

AI가 더욱 정교해짐에 따라 위협 행위자들은 채용 절차를 계속해서 속이려 할 것이다. 인사팀만으로는 이를 막기 어렵다. 너무 늦기 전에 기업은 생성형 AI, 딥페이크, 도용된 신원으로 무장한 위협 행위자를 차단하기 위한 선제적인 조치를 취해야 한다. 직원 채용과 온보딩 과정에서 강력한 신원 확인 절차를 도입함으로써, IT 및 보안 리더는 보안 사고를 예방하는 것은 물론, 팀과 기업에 큰 시간과 비용을 절약할 수 있다.

원문보기:
https://www.ciokorea.com/news/351768#csidx6861f9c1c3ad1129a7ff21c49845bb4